网站全站开启 HTTPS(一、又拍云一键部署)

2017-02-0111:11:26 发表评论 521℃热度

目录

HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Apple、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来互联网发展的趋势。为鼓励全球网站的 HTTPS 实现,Google 甚至调整了搜索引擎算法,让采用 HTTPS 的网站在搜索中排名更靠前。想必在不久的将来,全网 HTTPS 势在必行。

越来越多的网站选择 HTTPS 加密访问作为用户信息与网站安全的保障,所以趁着过年这几天有时间,准备把手下所有网站全部加上小绿锁,这几天也一直在研究,终于搞定,,一通全通,其实步骤也不难,只需要几步就可以搞定,下面把详细教程写出来,以免大家走弯路。通过查阅资料等,我大概掌握到3种比较便捷、自动的方法,这里先介绍第一种:

服务器环境:

  1. 上海腾讯云65元/月
  2. Debina 7.8 64位
  3.  lnmp(lnmp.org)

1.全站 HTTPS 趋势

  • 苹果宣布 2017 年 App Store 中的所用应用都必须使用 HTTPS 加密连接;
  • 百度、Google 等搜索引擎优先收录 HTTPS 页面并提升排名;
  • 英美强制要求所有政府网站 2016 年实现全站 HTTPS 加密;
  • 百度、阿里巴巴等互联网巨头均启用全站 HTTPS 加密;
  • 新一代 HTTP/2 协议的支持需以 HTTPS 为基础;

2.专有名词介绍

先介绍一些专有名词,以便大家更好地阅读文章,已经了解的可以忽略这一步:

HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP 通道,即 HTTP 的安全版。HTTPS 的安全基础是 SSL/TLS,它提供了身份验证与加密通讯的方法,现在被广泛用于万维网上安全敏感的通讯,比如交易、支付等。

SSL(Secure Socket Layer,安全套接字层)

SSL 由为 Netscape 公司所研发,用以保障在 Internet 上数据传输之安全,利用数据加密 (Encryption) 技术,可确保数据在网络上传输过程中不会被截取。SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。

TLS(Transport Layer Security,传输层安全)

传输层加密协议,其前身是 SSL 协议, 1999 年经过 IETF(The Internet Engineering Task Force 国际互联网工程任务组) 讨论和规范后,改名为 TLS。发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。TLS 1.3 改动会比较大,还在草案阶段,目前使用最广泛的是 TLS 1.1、TLS 1.2。

SSL 证书

SSL 证书就是遵守 SSL 协议的服务器数字证书,通过验证域名、服务器身份后,由受信任的数字证书授权机构 CA 颁发,具有服务器身份验证和数据传输加密等功能。

CA

数字证书授权机构 (CA,Certificate Authority) 是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

域名型 SSL 证书(DV SSL)

即证书颁布机构只对域名的所有者(一般是域名管理员邮箱,比如admin@hotmail.com)进行在线检查,通常是发送验证邮件给域名管理员或以该域名结尾的邮箱。

企业型 SSL 证书(OV SSL)

是要购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发 SSL 证书。

增强型 SSL 证书(EV SSL)

与其他 SSL 证书一样,都是基于 SSL/TLS 安全协议,但是验证流程更加具体详细,验证步骤更多,这样一来证书所绑定的网站就更加的可靠、可信。它跟普通 SSL 证书的区别也是明显的,安全浏览器的地址栏变绿,如果是不受信的 SSL 证书则拒绝显示,如果是钓鱼网站,地址栏则会变成红色,以警示用户。

3.网站申请证书

前一个月左右看群里消息,发现又拍云也可以免费部署证书,但是一直没有时间,所以过年尝试下。又拍云的免费证书,官方宣称:一键部署,免费、自动化证书签发。到底是不是,我来试试就知道了,下面开始。

进入又拍云官网:又拍云,注册账号什么的不用我说了,大家都会。

  • 这个是测试网站,现在访问还是 http 形式的,非常不安全。
  • 注册好账号后,进入又拍云的控制台,如图依次点击:
  • 点击继续:
  • 填写需要申请的域名,域名需要已经备案的:
  • 这时候会提醒你没有绑定服务,点击前往绑定服务,这个窗口无需关闭:
  • 接下来是创建服务:
  • 服务名称只要自己方便记忆就好,这里回源协议选择 HTTP,服务器端的配置文件不需要更改,更加方便:
  • 根据提示填写:
  • 服务创建成功:
  • 根据提示到域名服务商添加 CNAME 记录:
  • 由于我的是托管在腾讯云,之前用的是 CloudXNS ,不错,广大博主都从 Dnspod 迁移过来,但是我为了方便管理,就全部托管在腾讯云:
  • 这时候再回到上一个页面,点击下一步:
  • 点击提交:
  • 申请提交已经成功,等待审核:
  • 会显示对应状态,我的还在审核中,一般几分钟就好:
  • 证书已经申请成功:
  • 接下来还需要简单配置2步,第一步:
  • 第二步:
  • 又拍云配置成功,但是服务器端也要做相应的修改,我的修改路径是在:/usr/local/nginx/conf/vhost ,下面是网站的 Nginx 配置的图片,下面会给出代码格式,方便大家对照,大家根据自己情况修改对应域名:
  1. server
  2.     {
  3.         listen 443 ssl http2;
  4.         #listen [::]:80;
  5.         server_name ssl.huangbowei.com;
  6.         index index.html index.htm index.php default.html default.htm default.php;
  7.         root  /home/wwwroot/ssl.huangbowei.com;
  8.         include none.conf;
  9.         #error_page   404   /404.html;
  10.         include enable-php.conf;
  11.         location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
  12.         {
  13.             expires      30d;
  14.         }
  15.         location ~ .*\.(js|css)?$
  16.         {
  17.             expires      12h;
  18.         }
  19.         location ~ /\.
  20.         {
  21.             deny all;
  22.         }
  23.         access_log off;
  24.     }
  • 这时候大家刷新下浏览器,就会看到网站已经有一把令人心情愉悦的小绿锁了,如果没有,清除浏览器缓存或者重启 Nginx 服务器,点击进入测试网站
  1. cd lnmp1.3-full
  2. lnmp nginx restart

4.总结

虽然看起来步骤简单,但是大家动手才知道。一开始我也不太会,几天后,阅读一些文章和文档,才知道具体步骤,然后结合又拍云文档才配置成功,一次部署,自动续期,Let’s Encrypt 证书有效期是90天,然后就必须重新签发,好在又拍云会自动完成续签,虽然Let’s Encrypt 官方Oneinstacklnmp(2017/6/1 即将推出的正式版1.4版本,测试版已经有) 都有相应的Let’s Encrypt自动续期脚本,各有各的好处,大家根据自身情况选择。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏日暮星辰

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站...

1764
来自专栏上善若水

055 警告: 未提供 -tsa 或 -tsacert, 此 jar 没有时间戳。

将签名命令上加一段话: -digestalg SHA1 -sigalg MD5withRSA 加上后就可以了

3054
来自专栏黑白安全

中间人(MITM)攻击

中间人(MITM)攻击是一个通用术语,表示当犯罪者将自己置于用户与应用程序之间的对话中时 - 窃听或模仿其中一方,使其看起来好像是正常的信息交换进展中。

1572
来自专栏Timhbw博客

网站全站开启 HTTPS(二、腾讯云 SSL 证书)

2017-02-0612:19:27 发表评论 900℃热度 网站全站开启 HTTPS(一、又拍云一键部署) 之前写过又拍云的 SSL 证书一键部署,用的是 ...

76710
来自专栏SDNLAB

SDN私享汇(十):绿盟科技深度解读WanaCry

前言 5月12日晚,勒索病毒"WannaCry"感染事件爆发,全球范围近百个国家遭到大规模网络攻击,攻击者利用MS17-010漏洞,向用户机器的445端口发送精...

3048
来自专栏信安之路

突破封闭 Web 系统的技巧之正面冲锋

在互联网安全服务公司乙方工作的人或者进行 SRC 众测等相关渗透测试时,经常碰到客户只给一个 "xxx信息管理系统"、"xxx平台"之类的一个 Web 登录界面...

1170
来自专栏FreeBuf

Rapid勒索病毒分析与检测

勒索病毒一直是安全行业的一个热点,近期安全人员发现了一款名为rapid的勒索病毒,该勒索病毒使用了 RSA加AES对文件进行加密,它不仅会感染计算机上已有的文件...

5097
来自专栏FreeBuf

来自云端的木马:“百家”木马集团分析

0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

2117
来自专栏一名合格java开发的自我修养

HTTP协议下保证密码不被获取更健壮方式

说到在http协议下用户登录如何保证密码安全这个问题:     小白可能第一想法就是,用户在登录页面输入密码进行登录时,前台页面对用户输入的密码进行加密,然后把...

1262
来自专栏农夫安全

【干货】骚姿势破解后台管理员密码

骚姿势破解后台管理员密码 0x01 前言 该文为admin原创文章 当你某个时候通过注入得到了admin的密码,然后把他放到md5解密的时候,激动不已的等待着结...

4836

扫码关注云+社区

领取腾讯云代金券